Sikkerhed analytikere opdaget et nyt angreb kampagne, der er fokuseret på Ukraine bærer en farlig nyt våben - det skadedyr malware. Ifølge de frigivne rapporter dette er et stærkt opdateret version af Quasar trojansk hest, der er blevet yderligere tilpasset med brugerdefineret kode. Den farlige kode gør det muligt for kriminelle at overhale fuld kontrol over de kompromitterede enheder.
Den skadedyr Malware er blevet sluppet løs
En nylig angreb kampagne mod enheder placeret i Ukraine har ført til opdagelsen af en farlig ny malware kaldet skadedyr. Forskerne, der påviste infektioner påpege, at det er en gaffel af Quasar trojansk hest, der indeholder en masse kode forbedringer og brugerdefinerede tilføjelser. Dette gør det til en meget formidabelt våben på grund af det faktum, at det ikke er direkte forbundet med Quasar s adfærdsmønstre og originale malware motor. Den fokuserede angreb, der er sat mod land er knyttet til to case scenarier under overvejelse. Den første er relateret til det faktum, at det er muligt, at hacker operatører har pre-konfigureret angrebet ved hjælp af en færdiglavet liste af mål. Det andet forslag er tilskrives det faktum, at motoren kan udtrække detaljerede oplysninger om de regionale indstillinger. Brug den erhvervede information malware motor kan aktivere sig selv, hvis den skønner, at de kompromitterede enheder er levedygtige. I andre tilfælde kan det slette sig selv at undgå at blive opdaget.
Angrebene er hovedsageligt initieret gennem meddelelser distribueres gennem sociale netværk, en af de vigtigste taktik var at udnytte forskellige falske Twitter profiler og link til inficerede dokumenter. De kan være af forskellig type, herunder: rige tekstdokumenter, præsentationer og regneark. De kriminelle bag det brug social engineering taktik at tvinge ofrene i at interagere med filerne. De er lavet til at blive vist som dokumenter fra landets forsvarsministerium. Filerne indeholder en lokkedue selvudpakkende eksekverbar som aktiverer malware-kode, der fører til infektioner.
Utøj Malware Infiltration Taktik - Malware Process
Når infektioner er begyndt en sikker forbindelse med en hacker-kontrolleret server er etableret. Det interessante er, at operatørerne anvender SOAP-protokollen i stedet for den fælles HTTP. Det er hovedsageligt bruges til at udveksle struktureret information og en af grundene til, at det er blevet foretrukket, er det faktum, at automatiserede sikkerhedssoftware normalt ikke kontrollere denne protokol som det ikke kan indgå i de standard signaturer. En detaljeret analyse viser, at de igangværende kampagner har forskellige tilpassede stammer. Alle af dem er konstrueret under anvendelse af variable parametre, som kan gøre fjernelse vanskelig i det tilfælde, multiple infektioner målrette det samme netværk.
De første kontroller, der er foretaget efter de malware inficerer er relateret til de regionale indstillinger. Den malware motoren er i stand til at skabe en detaljeret profil af offerets enheder. Dette omfatter både anonyme målinger og personligt identificerbare data. Den første kategori er relateret til hardware information og systemvariabler. Det er hovedsageligt bruges af hacker operatører til at bedømme, hvor effektivt de angreb er. Den anden kategori består af data, der direkte kan udsætte ofrets identitet. Den består af strenge, der er relateret til deres navn, adresse, telefonnummer, geolocation, præferencer og kontooplysninger.
Specialisterne indikerer, at skadedyr kode ser ud til fire specifikke indtastningssprog: ru – Russisk, uk – ukrainsk, ru-ru – Russisk og uk-ua – ukrainsk. Hvis nogen af kontrollerne passerer infektionen fortsætter videre. De opfølgende skridt er relateret til download af yderligere malware komponenter. De er i krypteret form og dekrypteres on-the-fly samt henrettet kort efter, at. I løbet af denne initialisering fase hackere kan aktivere en stealth beskyttelse der kan omgå eventuelle konstaterede sikkerhedstjenester. Dette omfatter sandkasser, virtuelle maskiner og debugging miljøer. Den malware motor kan omgå eller fjerne dem i overensstemmelse med de indbyggede instruktioner. I nogle tilfælde, hvis den konstaterer, at det ikke er i stand til at gøre, så det kan slette sig selv for at undgå at blive opdaget.
Ud over alt det andet de analytikere afsløret, at truslen installerer en keylogger. Det er indlejret i de forskellige malware processer og forklædt som et Adobe Printerservice. Processen kan indsamle forskellige oplysninger - alle tastetryk, mus bevægelse eller individuelle interaktioner som defineret af operatørerne. De indsamlede oplysninger er krypteret og derefter opbevaret i en mappe placering:
%appdata%MicrosoftProofIndstillinger.{ED7BA470-8E54-465E-825C-99712043E01C}\Profiler.
Hver enkelt logfil registreres ved hjælp af følgende format: "{0:dd-MM-yyyy}.txt ".
Skadedyr Malware Capabilities
Når skadedyr malware har adgang til computeren og har infiltreret systemet processer ved at koble op til dem og skabe sine egne tråde modulerne tillader forbrydere til at foretage en række kommandoer. Dette gøres ved hjælp af den særlige sikrede netværksforbindelse via den citerede SOAP-protokollen. Den fulde liste omfatter følgende muligheder:
- ArchiveAndSplit - Arkiv Target filer og dele dem i dele
- CancelDownloadFile - Annuller En Running File Transfer
- CancelUploadFile - Annuller en Running upload-processen
- CheckIfProcessIsRunning - Kontrol Hvis en Target processen kører.
- CheckIfTaskIsRunning - Forespørgsler systemet efter en bestemt kørende proces.
- Opret mappe - Gør en ny mappe på den angivne placering
- DeleteFiles - Fjerner en Target-fil.
- DeleteFolder - Kommandoer Malware at Slet en Set mappe.
- Hent fil - Henter en fil fra en ekstern placering.
- GetMonitors - Kontrollerer eventuelle Apps, der kan være overvågning af systemet.
- GetProcesses - Henter en liste over kørende processer.
- KillProcess - Stopper kørende processer.
- ReadDirectory - læser indholdet af målmappen.
- RenameFile - Omdøb Target filer.
- RunKeyLogger - Udfører Keylogger Module.
- SetMicVolume - Justerer mikrofonlydstyrken.
- ShellExec - Udfører Forudsat kommandoer.
- Home Audio Capture - Aktiverer Audio Surveillance.
- StartCaptureScreen - Aktiverer Screenshot Module.
- StopAudioCapture - Deaktiverer Audio Surveillance.
- StopCaptureScreen - deaktiverer Screenshot Module.
- UpdateBot - Opdaterer Running skadedyr virus modul.
- Upload fil - Overfører en fil til Kommando Server.
Der er fundet følgende domæner at være relateret til angreb kampagner hidtil:
akamaicdn[.]ru
cdnakamai[.]ru
www.akamaicdn[.]ru
www.akamainet066[.]info
www.akamainet023[.]info
www.akamainet021[.]info
akamainet023[.]info
akamainet022[.]info
akamainet021[.]info
www.akamainet022[.]info
akamainet066[.]info
akamainet024[.]info
www.cdnakamai[.]ru
notifymail[.]ru
www.notifymail[.]ru
mailukr[.]netto
tech-adobe.dyndns[.]biz
www.mailukr[.]netto
185.158.153[.]222
94.158.47[.]228
195.78.105[.]23
94.158.46[.]251
188.227.75[.]189
212.116.121[.]46
185.125.46[.]24
5.200.53[.]181
Skadedyr Virus Removal
De komplekse infektion taktik, der er forbundet med skadedyr virus viser, at det kun kan fjernes med en kvalitet antispyware opløsning. Når infektioner har fundet sted en meget grundig systemanalyse følger der giver malware motor detaljerede oplysninger om, hvordan den kompromitterede maskine er konfigureret. Dette giver den trojanske at påvirke alle større komponenter i operativsystemet. Som sådan de hacker operatører kan forsegle følsomme filer, spion på ofrene og bruge de høstede data for afpresning og bedrageri formål.
Vi anbefaler alle ofre for at køre en gratis system scan for at sørge for, at de er sikre at bruge en betroet sikkerhed ansøgning. Løsningen er også i stand til at beskytte computere fra enhver indkommende angreb.
Spy Hunter scanner kun detektere trussel. Hvis du ønsker, at truslen skal fjernes automatisk, du nødt til at købe den fulde version af anti-malware værktøj.Læs mere om SpyHunter Anti-Malware værktøj / Sådan fjernes SpyHunter